반응형
더보기
목차
- 무선 보안
- 모바일 장치 보안
- 802.11i 무선랜 보안
예상 문제
- 무선 네트워크 보안 방안
- IEEE 802.11i 동작 단계
- 탐색 단계
- TKIP
- CCMP
무선 네트워크 보안
- 정의
- 물리적인 연결 없이 무선 신호를 통해 통신을 수행하는 기술
- 물리적인 연결 없이 무선 신호를 통해 통신을 수행하는 기술
- 보안 위협 요소
- 채널 (Channel)
- 무선 신호가 공중으로 송신되므로 도청이나 재밍(Jamming) 공격에 취약.
- 일반적으로 브로드캐스팅 통신 시 유선 네트워크보다 취약
- 이동성 (Mobility)
- 실제로 사용하는 무선 장치는 유선 장치보다 휴대가 간편하고 이동이 수월
이러한 이동성 때문에 여러 가지 위협 발생
- 실제로 사용하는 무선 장치는 유선 장치보다 휴대가 간편하고 이동이 수월
- 자원 (Resources)
- 스마트폰이나 태블릿 같은 일부 무선 장치는 정교한 운영체제를 가지고 있는데, 메모리와 프로세싱 자원이 제한적
- 서비스 거부 공격이나 악성 소프트웨어 위협에 대처 어려움
- 접근성 (Acessibility)
- 센서나 로봇 같은 일부 무선 장치는 직접 관리가 어려운 원격지에 있거나 혹독한 환경에 있다. 물리적 공격에 취약
- 채널 (Channel)
- 무선 환경의 공격 대상 요소
- 무선 클라이언트
- 셀폰(cell phone), Wi-Fi 기능을 가진 랩톱이나 태블릿, 무선 센서, 블루투스(Bluetooth) 장치
- 무선 접속점
- 유선 LAN 이나 WAN 에 연결된 셀 탑(cell towers), Wi-Fi 핫스폿(hotspots) 과 무선 접속점
- 전송 매체
- 데이터 전송용 라디오 전파를 전송하는 전송 매체
- 무선 클라이언트
- 무선 네트워크 위협
- 의도하지 않은 연결(Acciental association)
- 악성 연결(Malicious association)
- 애드 혹 네트워크(Ad hoc Network) : 중앙 보안 체계가 없음
- 비전형적 네트워크(Nontraditional Network) : PAN, BT, Sensors
- 신원 도용(Identity theft) (MAC 스푸핑)
- 중간자 공격(Man-in-the middle attack)
- 서비스 거부 공격(DoS : Denial of service)
- 네트워크 인젝션(Network Injection) : 접속점에 대한 가짜 재설정 명령 등
무선 보안 방안
- 무선 전송 보안
- 위협
- 도청
- 메시지 변조 및 삽입
- 통신 방해
- 대응 방안
- 신호-은닉 기술
- SSID 브로드 캐스팅 끄기
- SSID 에 암호화된 이름 붙이기
- 신호 강도 줄이기
- 건물 내부 쪽으로 설치
- 지향성 안테나와 신호-차단 기술 활용
- 암호화
- 신호-은닉 기술
- 위협
- 무선 접속점 보안
- 위협
- 불법 네트워크 접근
- 대응 방안
- IEEE 802.1X
- 포트 기반 네트워크 접근통제
- 무선네트워크 접속 시도 장비 인증 메커니즘
- IEEE 802.1X
- 위협
- 무선 네트워크 보안
- 암호사용
- 안티바이러스와 안티스파이웨어 소프트웨어와 침입차단 시트템
- 식별자 브로드캐스팅 모드 끄기
- 라우터 디폴트 식별자 변경
- 사전 세팅 라우터 관리자 패스워드 변경
- 오직 허가된 MAC 주소를 가진 기기만 통신할 수 있게 설정
- MAC Spoofing 이 가능해서 효과가 제한적
모바일 장치 보안
- 스마트폰 사용 이전 조직 컴퓨터 및 네트워크 보안 패러다임
- IT 에 대한 완벽한 통제
- 사용자 장치는 대체로 윈도우 PC
- 비즈니스 응용프로그램도 IT 부서에서 통제
- 네트워크 보안은 신뢰영역과 비신뢰영역 사이에서 구현
스마트폰 사용 후 환경 변화
- 새로운 장비 사용 증대 (Growing use of new devices)
- 모바일 기기 증대
- 클라우드-기반 응용 프로그램(Cloud-based applications)
- 모바일 가상 서버, 클라우드 서버 활용
- 경계 붕괴(De-perimeterization)
- 기기, 응용프로그램, 사용자, 데이터에 대한 다수의 네트워크 경계가 다이나믹하고 수시로 변경
- 외적 비즈니스 요구 (Externel business requirements)
- 장소 구애 없어지고 게스트나 비즈니스 파트너도 네트워크 접근 허가 필요
모바일 기기 보안 전략
- 기기 보안
- BYOD (Bring-your-own-device) 정책 : 자신의 단말로 조직 서비스에 접속
- 보안 통제
- 자동 잠금(auth-lock) 을 활성화
- 패스워드와 PIN 보호를 활성화
- 자동-완성 기능을 배제
- 원격 제거기능을 활성화
- TLS 보호 기능이 있다면 반드시 활성화
- 소프트웨어 최신 상태 유지
- 안티 바이러스 소프트웨어 설치
- 민감 데이터 모바일 기기에 저장하지 않고 저장하려면 암호화
- 기기를 불능화할 수 있는 권한 확보
- 3자의 응용 프로그램 설치 금지
- 허용목록(whitelisting) 구현
- 보안 샌드박스(sandbox) 구현
- 허용목록 상 모든 응용 프로그램은 반드시 신뢰된 기관의 공개 키 인증서로 디지털 서명
- 클라우드 기반 저장소 접속 가능 기기 규정
- 인적 요소에 대한 교육 훈련 미 모바일 기기 카메라 비활성화
- 위치 서비스 비활성화
- 보안 통제
- IT 관리자 : 네트워크 접속 하락 전 각 기기 조사
- IT 센터 : 운영체제와 응용 프로그램 설정 가이드라인 제시
- BYOD (Bring-your-own-device) 정책 : 자신의 단말로 조직 서비스에 접속
- 클라이언트/서버 트래픽 보안
- 암호와 인증 메커니즘에 토대하여 실시
- 모든 트래픽을 TLS 나 IPv6 처럼 암호화하여 안전한 상태로 전송
- 가상 사설망(VPN) 활용
- 강력한 인증 프로토콜 사용 : 이중 인증 메커니즘 활용
- 장벽 보안
- 보안 메커니즘 구비
- 침입차단시스템 정책 수립 : 모든 모바일 기기의 데이터 및 응용프로그램 접근 범위 제한
- 침입 탐지 및 침입예방시스템 설정 : 모바일 트래픽 통제
IEEE 802.11I 무선 LAN 보안
- 무선 LAN 의 특징
- 무선 신호 범위에 들어 있는 모든 지국은 수신 가능
- 다른 장비의 통신 범위 내에 들어오는 모든 지국은 송신이 가능
- 보안 필요성
- 강한 보안 서비스와 보안 메커니즘이 필요
- 원래 802.11 규격에 명시된 프라이버시와 인증을 위한 보안 기능은 매우 취약
- 802.11 : WEP(Wired Equivalent Privacy) 알고리즘 정의
- 802.11i 작업 그룹 : WEP 개발 이후 WLAN 보안 문제를 해결하기 위해 여러 가지 기능을 개발
- Wi-Fi 연합 : Wi-Fi 표준 WPA(Wi-Fi Protected Access) 를 공표
- RSN (Robust Secuirty Network) : 최신 802.11i 표준 버전
- 서비스와 프로토콜
- 동작 단계
- 1단계 : 탐색
- 과정
- 탐색 요청 : 지국이 네트워크로의 연결을 요청
- 탐색 응답 : AP 가 가능한 보안 파라미터를 전송 (보안 정책별 보안 기능 집합)
- 개방 시스템 인증 요청 : 지국은 공인증 수행을 위한 요청
- 개방 시스템 인증 응답 : AP 는 공인증 수행
- 연관 요청 : 지국은 보안 파라미터로 AP 와의 연관을 요청
- 연관 응답 : AP 는 연관된 보안 파라미터를 전송, 지국은 선택한 보안 파라미터를 설정
[802.1X 제어된 포트는 막힌 상태]
- 요소
- STA : 통신할 때 사용할 네트워크 존재 확인
- AP : 주기적으로 RSN IE (Robust Security Network Information Element) 로 표현된 자신의 보안 기능을 Beacon 프레임을 통해 특정 채널로 브로드캐스트
- 개방 시스템 인증
- IEEE 802.11 장비와의 하위 호환성
- 이 프레임 순서는 보안을 제공하지 않음
- 목적은 기존의 IEEE 802.11 하드웨어와의 호환성
- 핵심
- 두 장치 (STA 와 AP) 는 단순히 식별자만 교환
- IEEE 802.11 장비와의 하위 호환성
- 연관
- 목적 : 앞으로 사용할 보안 기능에 대한 합의
- STA 는 AP 가 브로드캐스트한 도구 중 자신이 매칭해서 사용할 수 있는 보안 도구를 이 프레임에 명시
- 매칭 도구
- 하나의 인증 및 키 관리 도구
- 하나의 암호 도구 쌍
- 하나의 그룹 키 암호 도구
- 매칭 도구
- AP 의 연관요청 거부 : AP 와 STA 간에 공통적으로 존재하는 도구가 없을 경우
- STA 의 연관 거절
- 정당하지 않은 AP 와 연관이 될 경우
- 채널에 정상적이지 않은 프레임 발견
- 과정
- 2단계 : 인증
- 설명
- 인증 단계를 통해 STA 와 DS 내부 인증 서버 (AS) 는 상호 인증
- 인증을 통해 인증된 지국만 네트워크를 사용할 수 있도록 한다.
- STA 도 자신이 정당한 네트워크 내에서 통신하고 있음을 확인
- 과정
- AP 가 STA 로 802.1X EAP 요청을 보냄.
- STA 가 AP 로 802.1X EAP 응답을 보냄.
- AP는 AS 에 접근 요청 (EAP 요청)
- AS 는 수용 후 EAP-성공 키 값을 AP 에 전달
- AP 가 STA 로 802.1X EAP 성공 을 전달
- AS 가 요청자 인증하기
- 인증자 역할
- 요청자와 AS 간에 제어나 인증 메시지 전달
- 802.1X 제어 채널(=통제안된 포트) 열린 상태
- 802.11 데이터 채널 (=통제된 포트)는 막힌 상태
- 요청자를 인증하고 키 제공
- 인증자는 요청자에게 사전에 정의된 네트워크 접근제어 제한 허용범위 내에서 데이터를 요청자에게 전송
- 인증자 역할
- 설명
- 3단계 : 키 관리
- 설명
- 다양한 암호 키가 생성되고 STA 로 분배
- 분배되는 키
- 한 쌍의 pairwise 키 : STA 와 AP 간에 사용
- 그룹 키 : 멀티 캐스팅 통신에 사용
- IEEE 802.11I 키 계층(쌍별 키 계층)
- 설명
- 4단계 : 안전 데이터 전송
- 설명
- IEEE 802.11i 에는 802.11 MPDU 를 전달하기 위한 두가지 시스템을 정의
- 임시 키 무결성 프로토콜(TKIP : Temporal Key Integrity Protocol)
- 설명 : WEP 에서 소프트웨어만 수정해서 동작할 수 있도록 설계
- 서비스
- 메시지 무결성(Message Integrity) : Michael 알고리즘
- 입력값 : 목적지 MAC 주소, 데이터 필드, 키 값
- 출력 : 64 bit
- 데이터 기밀성(Data Confientiality)
- MPDU 와 MIC 를 RC4 로 암호화
- 메시지 무결성(Message Integrity) : Michael 알고리즘
- 카운터 모드-CBC MAC 프로토콜(CCMP : Counter Mode-CBC MAC Protocol)
- 서비스
- 메시지 무결성
- 암호 블록 체인 인증 코드 (CBC-MAC : Cipher-block-Chaining Message Authentication Code) 를 사용
- 데이터 기밀성
- CCMP 는 AES 의 CTR 블록 암호 모드를 사용
- 메시지 무결성
- 무결성과 기밀성 보호를 위해 128bit AES 키 한 개 사용
- 서비스
- 임시 키 무결성 프로토콜(TKIP : Temporal Key Integrity Protocol)
- IEEE 802.11i 에는 802.11 MPDU 를 전달하기 위한 두가지 시스템을 정의
- 설명
- 5단계 : 연결 중단
- 1단계 : 탐색
반응형
'3학년 2학기 학사 > 네트워크 보안' 카테고리의 다른 글
| [네트워크 보안] #14. 웹 보안 (1) | 2024.12.10 |
|---|---|
| [네트워크 보안] # 13. 파이어월 (0) | 2024.12.09 |
| [네트워크 보안] # 12. 악성 코드 (1) | 2024.12.09 |
| b[네트워크 보안] # 11. 이메일, S/MIME (0) | 2024.12.06 |
| [네트워크 보안] #10. VPN 실습 (0) | 2024.12.05 |
